谷歌账户恢复漏洞致攻击者可获取任意用户手机号
谷歌账户恢复漏洞致攻击者可获取任意用户手机号 邑安科技 邑安全 2025-06-10 07:12 更多全球网络安全资讯尽在邑安全 根据BruteCat安全研究人员本周披露的报告,谷歌账户恢复系统中存在一个高危漏洞,攻击者可通过精心设计的暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复,其利用谷歌的无JavaScript(No-JS)用户名恢复表单绕过安全防护机制,窃取敏感个人信息。 漏洞原
继续阅读标签: 复现
CVE-2025-49113 漏洞分析与利用方式
CVE-2025-49113 漏洞分析与利用方式 原创 4uuu Nya 奇安信天工实验室 2025-06-10 07:06 目 录 一、前 言 二、版本diff 三、复现环境 四、漏洞分析 五、总 结 一 前 言 2025年6月2日公开了一个RoundCube邮件系统中的一个RCE漏洞,信息如下: 影响版 本<1.5.10 <1.6.11 , 虽 然 是一个认证后才可以触发的漏
继续阅读利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率
利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率 Ots安全 2025-06-10 06:26 本文深入探讨了如何通过利用自动化工具“reverge”显著提升漏洞赏金(bug bounty) hunting的效率与成功率,特别针对当前网络安全领域日益增长的需求和挑战。文章以作者的亲身实践为基础,详细讲解了从漏洞的证明概念(PoC,例如近期在Fortinet产品中被利用的CV
继续阅读110页 SOC中的网络威胁情报应用
110页 SOC中的网络威胁情报应用 原创 计算机与网络安全 计算机与网络安全 2025-06-10 04:57 作者凭借15年信息安全从业经验,持有CISSP、ECSA等28项专业认证,现任NetSentries Technologies首席技术官。本书的独特价值在于将军事领域的”杀伤链”理论(Cyber Kill Chain)与商业安全实践相结合,填补了威胁情报操作化实
继续阅读ms017-010漏洞扫描及安全检查
ms017-010漏洞扫描及安全检查 原创 simeon的文章 小兵搞安全 2025-06-10 04:05 1.1ms017-010简介 MS17-010是微软于2017年3月发布的重要安全补丁,修复了SMBv1协议中一个严重远程代码执行漏洞,MS17-010被微软评为Critical(严重)级别。2017年4月,影子经纪人(Shadow Brokers)泄露的NSA武器库中包含该漏洞利用工具“
继续阅读最新分析 | Mirai 利用 CVE-2024-3721 攻击 TBK DVR 设备
最新分析 | Mirai 利用 CVE-2024-3721 攻击 TBK DVR 设备 白帽子左一 白帽子左一 2025-06-10 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 滥用已知的安全漏洞在易受攻击的系统上部署机器人是一种广为人知的问题。许多自动化机器人会持续扫描互联网上的服务器和设备,寻找已知漏洞,
继续阅读速修!Kafka Connect爆任意文件读取漏洞,无需授权
速修!Kafka Connect爆任意文件读取漏洞,无需授权 原创 微步情报局 微步在线研究响应中心 2025-06-10 02:20 漏洞概况 Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。 微步情报局通过X漏洞奖励计划获取到Apache Kafka Connect任意文件读取漏洞(https:/
继续阅读2025年5月企业必修安全漏洞清单
2025年5月企业必修安全漏洞清单 云鼎实验室 2025-06-10 01:34 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全
继续阅读Dataease JWT 认证绕过导致未授权访问漏洞CVE-2025-49001 附POC
Dataease JWT 认证绕过导致未授权访问漏洞CVE-2025-49001 附POC 2025-6-9更新 南风漏洞复现文库 2025-06-09 15:39 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Dataease简介
继续阅读Dell PowerScale 漏洞让攻击者能够获得未经授权的文件系统访问权限
Dell PowerScale 漏洞让攻击者能够获得未经授权的文件系统访问权限 邑安科技 邑安全 2025-06-09 14:45 更多全球网络安全资讯尽在邑安全 影响 Dell PowerScale OneFS 存储作系统的两个重大安全漏洞,其中最严重的缺陷可能允许未经身份验证的攻击者获得对企业文件系统数据的完全未经授权的访问。 该严重漏洞被跟踪为 CVE-2024-53298,影响 Power
继续阅读探讨进程注入:CONTEXT-Only
探讨进程注入:CONTEXT-Only 原创 半只红队 半只红队 2025-06-09 14:22 在基本的远程进程注入中,EDR会监视这经典的三个迹象: – 给进程分配新的内存:VirtualAllocEx 修改此进程的内存:WriteProcessMemory、VirtualProtectEx 执行:CreateRemoteThread 在这篇文章中,我们依据这一篇文章(https
继续阅读记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞 原创 猎洞时刻 猎洞时刻 2025-06-09 12:12 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑
继续阅读微软MSRC榜首赏金猎人带你来挖洞
微软MSRC榜首赏金猎人带你来挖洞 迪哥讲事 2025-06-09 12:05 关注我们丨文末赠书 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用十余年攻防实
继续阅读Vite漏洞利用指南(文末附工具)
Vite漏洞利用指南(文末附工具) /root 励行安全 2025-06-09 12:03 漏洞利用方法汇总 1. CVE-2025-30208 (尾部分隔符绕过) 影响版本 : < 6.2.3, < 6.1.2, < 6.0.12, < 5.4.15, < 4.5.10 修复版本 : 6.2.3, 6.1.2, 6.0.12, 5.4.15, 4.5.10 利用原理
继续阅读CVE-2025-26319:FlowiseAI未授权任意文件写入漏洞
CVE-2025-26319:FlowiseAI未授权任意文件写入漏洞 白帽子 2025-06-09 10:35 关注我们❤️,添加星标🌟,一起学安全! 作者:Howell@Timeline Sec 本文字数:4617 阅读时长:3~5mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负。 0x01 简介 FlowiseAI 是一款开源的低代码/无代码工具,用于快速构建基于大语言模
继续阅读APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析
APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析 原创 高级威胁研究院 360威胁情报中心 2025-06-09 10:17 APT-C-56 透明部落 APT-C-56(#透明部落 )(即Transparent Tribe),又称APT36、ProjectM或C-Major,是一家源自南亚的高级持续性威胁(APT)组织。该组织的主要攻击区域集中于印度及其周边国家
继续阅读精品产品系列 | 捷普漏洞扫描系统
精品产品系列 | 捷普漏洞扫描系统 交大捷普 2025-06-09 10:10 —捷普2025精品产品系列— 捷普漏洞扫描系统 核心优势 01 丰富的漏洞库资源 捷普漏洞扫描系统(NVAS)的漏洞知识库量级为300000+条,涵盖了各种主流操作系统、应用服务、数据库、网络设备、虚拟化平台、大数据、视频监控系统等。漏洞知识库数量国内领先,每两周至少升级一次。漏洞相关信息支持全中文,兼容CVE,CNN
继续阅读DataEase 远程代码执行漏洞分析
DataEase 远程代码执行漏洞分析 重生之成为赛博女保安 2025-06-09 09:55 漏洞描述 DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 漏洞影响版本: DataEase < 2.10.10 漏洞详情: 在过滤H2 JDBC连接字符串时存在大小写绕过,攻击者可配合JWT鉴权逻辑缺陷,构造特定的JDBC
继续阅读雷神众测漏洞周报2025.6.3-2025.6.8
雷神众测漏洞周报2025.6.3-2025.6.8 原创 雷神众测 雷神众测 2025-06-09 09:51 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读CNVD漏洞周报2025年第21期
CNVD漏洞周报2025年第21期 原创 CNVD CNVD漏洞平台 2025-06-09 09:41 2 0 2 5 年 06 月02日 – 2 0 2 5 年 0 6 月08 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 中。 国家信息安全漏 洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞488个,其中高危漏洞219个、中
继续阅读0042.我如何发现 SMTP 注入漏洞并在短短 30 分钟内赚了 800 美元!
0042.我如何发现 SMTP 注入漏洞并在短短 30 分钟内赚了 800 美元! TheIndianNetwork Rsec 2025-06-09 09:34 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自互联网,如你是原作者,请联系我们! 标签:SMTP注入 漏洞赏金狩猎总是充满惊喜,有时最容易利用的漏洞反而能带来丰厚的回报。本文讲述了我如何偶然发现一个SMT
继续阅读安全热点周报:Google 修复了在攻击中被利用的新 Chrome 零日漏洞
安全热点周报:Google 修复了在攻击中被利用的新 Chrome 零日漏洞 奇安信 CERT 2025-06-09 09:32 安全资讯导视 • 李强签署国务院令,公布《政务数据共享条例》 • 阿里云核心域名遭“劫持”,域名安全引担忧 • 国家安全部:境外间谍对我实施网络攻击窃密愈演愈烈 PART01 漏洞情报 1.Roundcube Webmail后台代码执行漏洞安全风险通告 6月6日,奇安
继续阅读【高危漏洞预警】VMware Cloud Foundation 信息泄露漏洞(CVE-2025-41230)
【高危漏洞预警】VMware Cloud Foundation 信息泄露漏洞(CVE-2025-41230) cexlife 飓风网络安全 2025-06-09 09:11 漏洞描述: VMware Cloud Foundation是美国威睿(VMware)公司的一套一体化混合云平台,该平台包括运维自动化、基础架构自动配置和集成式生命周期管理等功能,攻击者可以通过网络访问VMԝаrе Clоud
继续阅读Java FreeMarker 模板引擎注入深入分析
Java FreeMarker 模板引擎注入深入分析 蚁景网安 2025-06-09 08:59 温馨提示:图片有点多,请耐心阅读哦 0x01 前言 最近和 F1or 大师傅一起挖洞的时候发现一处某 CMS SSTI 的 0day,之前自己在复现 jpress 的一些漏洞的时候也发现了 SSTI 这个洞杀伤力之大。今天来好好系统学习一手。 – • 有三个最重要的模板,其实模板引擎本
继续阅读trojan管理平台任意重置管理员密码+命令执行组合漏洞
trojan管理平台任意重置管理员密码+命令执行组合漏洞 原创 zangcc Eureka安全 2025-06-09 08:51 需要明确的是,此次研究和分享基于技术研究和提升安全意识的目的。我们旨在通过对此漏洞的 分析,帮助广大安全从业者更好地了解漏洞的成因、存在的风险,以及如何有效进行防范。 我们在 此郑重声明,本文的读者应当是出于合法、合规的目的来阅读和使用这些信息。任何未经授权使用 本文内
继续阅读全球科技巨头隐秘监视数十亿Android用户,滥用系统漏洞跨端追踪长达八年
全球科技巨头隐秘监视数十亿Android用户,滥用系统漏洞跨端追踪长达八年 安全客 2025-06-09 08:37 近日,一项由西班牙 IMDEA 软件研究所牵头的学术研究引发全球安全圈关注。研究指出,全球两大科技巨头——美国的 Meta 和俄罗斯的 Yandex,借助安卓平台的本地通信机制,绕过系统权限控制与用户隐私防护,悄然实现了网页与 App 之间的 ID 跨端绑定与行为数据融合采集。这一
继续阅读代码审计之 XXE漏洞场景,及实战讲解!
代码审计之 XXE漏洞场景,及实战讲解! 闪石星曜CyberSecurity 2025-06-09 08:08 声明:文章涉及网络安全技术仅作为学习,从事非法活动与作者无关! 本篇为代码审计系列XXE漏洞理论篇第六篇,看完本篇你将掌握关于XXE漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。 – 基本概念 XML概念 DTD概念 DOCTYPE概念 业务视
继续阅读漏洞通告 | Roundcube Webmail存在反序列化漏洞
漏洞通告 | Roundcube Webmail存在反序列化漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-09 08:05 漏洞概况 Roundcube Webmail 是一款开源的基于 Web 的多语言 IMAP 客户端,提供类似桌面应用程序的用户体验。 微步情报局获取到Roundcube Webmail存在反序列化漏洞情报(CVE-2025-49113,CNNVD-202506
继续阅读网络安全攻防:别再傻傻地等漏洞,主动出击,从JS里挖金矿!
网络安全攻防:别再傻傻地等漏洞,主动出击,从JS里挖金矿! 龙哥网络安全 龙哥网络安全 2025-06-09 07:30 作者:奇安信攻防社区(中铁13层打工人?也许是深藏不露的扫地僧!) 原文链接?太规矩了!直接搜标题,找不到算我输! 还在对着WAF日志发呆?还在指望扫描器给你惊喜?醒醒吧!真正的网络安全,是主动出击,是抽丝剥茧,是从看似平静的前端代码里,挖掘出足以撼动整个系统的漏洞!今天,咱们
继续阅读MS12-020漏洞利用及复现
MS12-020漏洞利用及复现 原创 simeon的文章 小兵搞安全 2025-06-09 05:51 1.1MS12-020简介 MS12-020 漏洞是微软在2012年发布的一个安全更新所修复的漏洞,它涉及到Windows操作系统的远程桌面协议(RDP)。该漏洞编号为CVE-2012-0003,属于远程代码执行(RCE)类型,允许未经认证的攻击者通过发送特制的RDP数据包到开启了RDP服务的目
继续阅读